Wir haben eine Liebes-Hass-Beziehung zur biometrischen ID. Immerhin sieht es so erstaunlich aus, als der Held in einem Sci-Fi-Motion-Bild nach dem Scanner seiner Hand und der Iris in den eingeschränkten Zugangsbereich eintritt. Aber das ist das Beste, was Sie über biometrische Sicherheit sagen können. Es ist konzeptionell auf ein paar Wege fehlerhaft, und fast jede Umsetzung, die wir gesehen haben, werden früher oder später gebrochen.
Fall in Punkt: Der produktive Anti-Biometrie-Hacker [Starbug] und eine Gruppe von PALS in der Berliner CCC können sich mit dem Zahlungssystem “Samsung Pay” durch den Iris-Scanner authentifizieren. Das unten eingebettete Video zeigt Ihnen, wie: ein Bild des Auges des Ziels, drucken Sie es aus und halten Sie es an das Telefon. Das war hart!
Sarkasmus beiseite, der IRIS-Sensor verwendet IR, um Muster in Ihrem Auge zu erkennen, sodass [Starbug] und Co. einen CAM mit Nachtsichtmodus verwenden mussten. Eine Kontaktlinse, die über dem Foto platziert wird, vervollständigt die Illusion – wir vermuten, dass es die Reflexionen von der Raumbeleuchtung rechts bekommt. Kein Ätzen von Fingerabdruckmustern in Kupfer, kein leitfähiges Gel – nur ein Ausdruck und eine Kontaktlinse.
Wir haben vorher über die Unsicherheit der Fingerabdrücke gesungen; Sie sind kein gutes Geheimnis, sie sind unwiderruflich, und sie sind schwer, sicher zu lagern. Und auf diesen konzeptionellen Problemen sind sie ziemlich gedellbar, wie [Starbug] und viele andere gezeigt haben, ging zurück.
Warum benutzen wir sie noch? Fingerabdruckleser und Iris-Scanner sind “gut genug” Sicherheit, und sie machen Spaß, um herumzuheben. Müssen Sie ein Projekt für Grins hinzufügen? Absolut. Müssen Sie Ihre Bürger benötigen, um sie für die Authentifizierung zu verwenden, oder verwenden Sie sie für echte Sicherheit? Wir würden nicht.
Video-PlayerHttp: //cdn.media.ccc.de/contributoren/berlin/biometrie/h264-hd/biometrie-11-eng-hacking_the_samsung_galaxy_s8_irisscanner_hd.mp4
00:00 Uhr
00:00 Uhr
01:16.
Danke [mbln] für den Tipp!